Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Android.Triada.321.origin
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) c.appj####.com:80
- TCP(HTTP/1.1) a.appj####.com:80
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) up####.iad####.com:8000
Запросы DNS:
- a.appj####.com
- and####.b####.qq.com
- c.appj####.com
- up####.iad####.com
Запросы HTTP POST:
- a.appj####.com/jiagu/check/upgrade
- and####.b####.qq.com/rqd/async?aid=####
- c.appj####.com/ad/splash/stats.html
- up####.iad####.com:8000/backup/getsystemconfig.jsp
Изменения в файловой системе:
Создает следующие файлы:
- /data/anr/traces.txt
- <Package Folder>/.jiagu/libjiagu.so
- <Package Folder>/app_crashrecord/1004
- <Package Folder>/app_jgls/.log.lock
- <Package Folder>/app_jgls/.log.ls
- <Package Folder>/databases/bugly_db_-journal
- <Package Folder>/files/####/.jg.ic
- <Package Folder>/files/####/art
- <Package Folder>/files/####/at
- <Package Folder>/files/####/backup.jar
- <Package Folder>/files/####/busybox
- <Package Folder>/files/####/config_config
- <Package Folder>/files/####/gd
- <Package Folder>/files/####/gd_gd
- <Package Folder>/files/####/init
- <Package Folder>/files/####/init_init
- <Package Folder>/files/####/install
- <Package Folder>/files/####/install-recovery.sh
- <Package Folder>/files/####/librgsdk.so
- <Package Folder>/files/####/resource.png
- <Package Folder>/files/####/securitymode.dat
- <Package Folder>/files/####/tp
- <Package Folder>/files/####/wt
- <Package Folder>/files/configuration.dat
- <Package Folder>/files/local_crash_lock
- <Package Folder>/files/sdkcore.apk
- <Package Folder>/files/security_info
- <Package Folder>/shared_prefs/asdfsdfasdf.xml
- <Package Folder>/shared_prefs/config.xml
- <Package Folder>/shared_prefs/crashrecord.xml
- <Package Folder>/shared_prefs/jg_app_update_settings_random.xml
- <Package Folder>/shared_prefs/qihoo_jiagu_crash_report.xml
- <Package Folder>/shared_prefs/system.backup.visitcontrol.xml
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop
- /system/bin/sh -c type su
- chmod 755 <Package Folder>/.jiagu/libjiagu.so
- getprop
- rm -f <Package Folder>/files/sdkcore.apk
- rm -f <Package Folder>/files/sdkcore.dex
Загружает динамические библиотеки:
- Bugly
- app
- jpaysdk
- libjiagu
- securitymode
Использует следующие алгоритмы для шифрования данных:
- AES-GCM-NoPadding
- RSA
- RSA-ECB-NoPadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-ECB-PKCS5Padding
- AES-GCM-NoPadding
- DES
- DES-ECB-PKCS5PADDING
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
